Peneliti Temukan Belasan Ribu Chrome Extensions Bisa Curi Password


Memang Google selalu perketat pengawasan terhadap Chrome Extensions seperti mengharuskan tanda verifikasi terhadap extension yang mau di publish di layanan milik Google ini.

Hanya saja bukan berarti itu merupakan obat mujarab yang bisa mengobati segala masalah malware atau apapun tindakan kejahatan yang bisa ditimbulkan. Nyatanya, masalah pencurian data seperti password masih bisa dilakukan pihak ketiga.

Belasan Ribu Chrome Extensions Bisa Curi Password Tanpa Kita Sadari

belasan ribu chrome extensions
Terindikasi bisa curi password

Dari penelitian oleh University of Wisconsin-Madison (via BleepingComputer) membeberkan sebuah proposal bahwasanya password yang disimpan pada sebuah source code website bisa diambil dengan menggunakan cara khusus lewat extensions Chrome.

Dari riset tersebut menunjukkan kalau peramban Google ini memberikan akses berlebih terhadap sebuah extensions hingga menyebabkan data bisa saja diakses oleh pihak ketiga lewat cara yang bisa diakali.

chrome extensions
Password bisa terbaca

Website yang menyimpan data pengguna berupa username atau password dalam format plain text di HTML code mereka berpotensi untuk dicuri datanya. Pasalnya plugin tambahan Chrome ini diberikan akses tanpa batas terhadap DOM Trees. Dimana membolehkan ekstensions tersebut mengintip isi dari field input teks dan juga source code dari website tersebut.

Ia juga diperlihatkan bisa menyalin apa yang sedang pengguna ketik dan bisa mem-bypass sistem keamanan password yang diberlakukan pada website seperti enkripsi penulisan password misalnya.

Sekitar 17 Ribu Extensions Bisa Abuse Sistem Ini

chrome extensions
Pengamanan sistem kurang ketat

Google memang sudah memberlakukan protocol Manifest V3 terhadap extensions di Chrome. Hanya saja protocol baru ini cuma bertujuan agar code tidak jelas asal usulnya tidak dapat berjalan pada extension di Chrome. Mengenai bagaimana sebuah extension bekerja terhadap website tidak ada pengamanan sama sekali.

Ini berarti selama tidak ada code yang dianggap tidak aman oleh Manifest V3 dan tidak memasukkan code tambahan lainnya dari luar. Sebuah extensions bisa berjalan dengan mulus tanpa adanya pengawasan dari Google.

Peneliti ini mengatakan ada sekitar 17.300 extensions atau sekitar 12,5% di peramban yang bisa meng-abuse sistem ini. Termasuk diantaranya adalah adblocker dan berbagai aplikasi pendukung belanja lainnya.


Baca juga informasi menarik Gamebrott lainnya terkait Tech atau artikel lainnya dari Andi. For further information and other inquiries, you can contact us via [email protected].

Tinggalkan komentar

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *